23/03/2007 11:34 am setup do windows server...
TRANSCRIPT
Microsoft TechDays 2007 - Lisboa 23/03/2007 11:34 AM
2007 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 1
SRV011
10 Razões para se preparar parao Windows Server “Longhorn”
Nuno [email protected]
System Engineer, VodafoneGUPADE
Pedro [email protected]
System Engineer, VodafoneGUPADE
Patrocinadores
Sistema Operativomais robusto
Gestão por politicas
Mais Controlo Aumento de Protecção
Maior Flexibilidade
Servidor de virtualização integrado
Acesso aplicational de qualquer local
Soluções Web mais extensas
Melhorias na Implementação
Melhorias naautomatização de tarefas
Instalação e gestãobaseada em Roles
Microsoft TechDays 2007 - Lisboa 23/03/2007 11:34 AM
2007 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 2
10 Razões para se preparar parao Windows Server “Longhorn”
Mais Controlo
Maior Flexibilidade
Aumento de Protecção
1. Server Management
2. Windows PowerShell
3. Internet Information Services 7.0
4. Server Hardening
5. Server Core
6. Network Access Protection (NAP)
7. Failover Clustering
8. Implementação em locais remotos
9. Virtualização do Windows Server
10.Novas funcionalidades de Terminal Services
Windows Server 2003Instalação, segurança, e gestão por perfis através de diferentesferramentas
Setup do Windows Server 2003
Pós-Setup das actualizações de Segurança
GUI “Manage Your Server”
GUI “Configure Your Server”
GUI “Add/Remove Windows Components”
GUI “Computer Management”
GUI “Security Configuration Wizard”
Instalação do Produto
Configuração Inicial
Administração
Administração do Windows Server “Longhorn”
Server ManagerProvidencia out-of-the-box uma excelente experiência emadicionar, configurar e gerir os perfis do servidor
1. Experiência “Out of box”
Ajuda o utilizador a completar e operar o servidor guiando-o através das tarefas necessárias
2. Experiência única para configurar o Windows Server “Longhorn”
Ajuda o utilizador a adicionar e remover papeis e funcionalidades do servidor de uma forma segura
3. Portal para Administração
Apresenta o estado do servidor, mostra as tarefas mais importantes e guia-nos para as ferramentas de administração avançadas
Microsoft TechDays 2007 - Lisboa 23/03/2007 11:34 AM
2007 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 3
Server ManagerUma ferramenta baseada em linha de comando (shell) que facilita o controlo e automatização de tarefas para osAdministradores de Windows
Internet Information Services (IIS) 7.0Maisdo que um servidor Web, o Internet Information Services 7.0 providencia uma forma segura e fácil de gerir o desenvolvimento e alojamento de aplicações Web no servidor
Arquitectura Modular
Ferramentas de Administração integradas e
eficientes
Poderosas funcionalidadesde diagnostico
Extensibilidadedas APIs
Modelo de configuração distribuído
Melhoramentos IIS 7.0 Segurança
Optimizada &
Actualizações
Customizaçãode soluções
Rapidez naimplementação
de soluções
Administradores
e programadores
motivados
Aplicações menos tempo
paradas
IIS 7 Arquitectura Modular
Instale apenas as funcionalidades que precisa
Por defeito são instalados 40 componentes
Superfície de ataque reduzida durante a instalação
Actualize apenas as funcionalidades que tem instaladas
Implemente um “streamlined” Web Server
Melhoria no desempenho
Memoria inicial reduzida
Mais fácil de gerir
Microsoft TechDays 2007 - Lisboa 23/03/2007 11:34 AM
2007 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 4
IIS 7 Maior Extensibilidade
As funcionalidade do IIS 7 são desenvolvidas em APIs públicas
Encoraja a comunidade a extender, alterar, e adicionar novas funcionalidades
Uma maior integração entre o IIS e o ASP.NET
Os serviços ASP.NET funcionam para todos os tipos de aplicações e conteúdos
Win32 e .NET Framework APIs nativas
Produtividade para o programador que utiliza .NET
Suporte para extensões de terceiros
Estender a configuração, ferramenta de administração, event logging
IIS7 Experiência na Administração
Gestão remota
sobre HTTP
Funcionalidades
do IIS e do ASP.NET são
facilmente
encontradas e usadas
Programadores e donos de sites podem mais facilmente delegar auto-
criação de tarefas
Internet Information Services 7.0
10 Razões para se preparar parao Windows Server “Longhorn”
MaisControlo
Maior Flexibilidade
Aumento de Protecção
1. Server Management
2. Windows PowerShell
3. Internet Information Services 7.0
4. Server Hardening
5. Server Core
6. Network Access Protection (NAP)
7. Failover Clustering
8. Implementação em locais remotos
9. Virtualização do Windows Server
10.Novas funcionalidades de Terminal Services
Microsoft TechDays 2007 - Lisboa 23/03/2007 11:34 AM
2007 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 5
D DD
Server Hardening (robustez do servidor)
Defesa do modelo de serviços
Reduz o risco nos níveis mais altos
Segmentação de serviços
Aumento do nº de níveis
Kernel DriversD
D User-mode Drivers
D
D D
Service 1
Service 2
Service 3
Service…
Service …
Service A
Service B
Alteração de serviços no Windows Server “Longhorn”
Windows XP SP2 / Server 2003 R2 Windows Vista /
Windows Server “Longhorn”
Account Services Account Services
LocalSystem Wireless Configuration
System Event
Notification
Network Connections
(netman)
COM+ Event System
NLA
Rasauto
Shell Hardware
Detection
Themes
Telephony
Windows Audio
Error Reporting
Workstation
ICS
RemoteAccess
DHCP Client
W32time
Rasman
browser
6to4
Help and support
Task scheduler
TrkWks
Cryptographic Services
Removable Storage
WMI Perf Adapter
Automatic updates
WMI
App Management
Secondary Logon
BITS
LocalSystem
Firewall Restricted
WMI Perf Adapter
Automatic updates
Secondary Logon
App Management
Wireless Configuration
LocalSystem BITS
Themes
Rasman
TrkWks
Error Reporting
6to4
Task scheduler
RemoteAccess
Rasauto
WMI
Network Service
Fully Restricted
DNS Client
ICS
DHCP Client
browser
Server
W32time
Network Service
Network Restricted
Cryptographic Services
Telephony
PolicyAgent
Nlasvc
Network
Service
DNS Client Local Service
No Network Access
System Event Notification
Network Connections
Shell Hardware Detection
COM+ Event System
Local Service SSDP
WebClient
TCP/IP NetBIOS helper
Remote registry
Local Service
Fully Restricted
Windows Audio
TCP/IP NetBIOS helper
WebClient
SSDP
Event Log
Workstation
Remote registry
Server HardeningProtecção de ficheiros do Sistema Operativo
Valida a integridade do processo de boot
Verifica kernel, HAL e boot-start drivers
Se validação falhar, SO não arranca
Valida a integridade de cada “binary image”
Implementado como file system filter driver
Verifica o hash de cada pagina durante o “load”
Hashes guardados no system catalog ou emcertificados X.509 certificate embebidos no ficheiro
Server HardeningControlo de Instalação de Devices
Possibilidade de bloquear instalação de novos devices
Instalação do servidor e impedir a instalação de novos Devices
Definir excepções baseadas em device class ou device ID
Autorizar instalação de Teclado e Rato, mas mais nenhum device pode ser instalado
Autorizar device IDs específicos
Configurável via Group Policy
Definido ao nível do computer object
Microsoft TechDays 2007 - Lisboa 23/03/2007 11:34 AM
2007 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 6
Server HardeningWindows Firewall with Advanced Security
Gestão integrada de Firewall e IPsec
Nova ferramenta de gestão – Windows Firewall with Advanced Security MMC snap-in
Mais facil de configurar e gerir as duas tecnologias
Regras de Firewall tornaram-se mais intiligentes
Configurar requesitos de securança, tais como autenticação e encriptação
Especificar Active Directory computerou user groups
Outbound filtering
Enterprise management feature
Politica de protecção simplificada reduzGestão
Windows Firewall with Advanced Security
Server Core Installation OptApenas componentes minimos para redução de manutenção
Uma nova opção de instalação disponível em cada versão “Windows Server”
Disponibiliza um conjunto de funcionalidades “core” do SO
Parte de uma infrastructura completa Windows Server “Longhorn”
Pode ser gerido através de:
Command-line tools Locais e Remotas
Terminal Services (Remoto)
Microsoft Management Console (Remoto)
Server Core
Opção de instalação mínima
Superfície de “ataque” reduzida
Command line interface
Conjunto limitado de server roles
Server Core Server Roles
Server Core
Security, TCP/IP, File Systems, RPC,plus other Core Server Sub-Systems
DNS DHCP File AD
Server
With WinFx, Shell, Tools, etc.
TS IASWeb
ServerSharePoint®
Etc…
Server, Server Roles(for example only)
GUI, CLR, Shell, IE,
Media, OE, etc.
Microsoft TechDays 2007 - Lisboa 23/03/2007 11:34 AM
2007 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 7
Server Core
Network Access ProtectionComo Funciona
Not policy
compliant
1
RestrictedNetwork
Client requests access to network and presents
current health state1
4If not policy compliant, client is put in a restricted
VLAN and given access to fix up resources to download patches, configurations, signatures (Repeat
1 - 4)
2 DHCP, VPN or Switch/Router relays health status to
Microsoft Network Policy Server (RADIUS)
5 If policy compliant, client is granted full access to corporate
network
MSFT NPS
3
Policy Serverse.g. Patch, AV
Policy
compliant
3 Network Policy Server (NPS) validates against IT-defined
health policy
2
Windows
Client DHCP, VPN
Switch/Router
Fix UpServerse.g. Patch
Corporate Network5
4
NAP - Enforcement Options
Enforcement Healthy Client Unhealthy Client
DHCPFull IP address given, full access
Restricted set of routes
VPN (Microsoft and 3rd Party)
Full access Restricted VLAN
802.1X Full access Restricted VLAN
IPsec
Can communicate with any trusted peer
Healthy peers reject connection requests from unhealthy systems
• Complements layer 2 protection
• Works with existing servers and infrastructure
• Flexible isolation
Beneficios do NAP
Feature Support Benefit
Built-in client Windows Vista, Windows XP • No need to deploy/license 3rd party client
• Updates via WUS / WSUS / SMS
Flexible
enforcement
DHCP, VPN, 802.1x, Terminal
Services, Server and Domain
isolation
• Works with today‟s & tomorrow‟s networks
• Enables risk-benefit trade offs
3rd party
enforcement
All major switch / router /
firewall / VPN
Customers can use any network or security infrastructure
vendor
Health
assessment
SMS, WUS, SecurityCenter,
3rd party
• Seamless integration with Windows infrastructure
• Works with any AV, patch or endpoint security solution
User experience Integrated with Windows
Vista glass. Branding
supported.
Polished look and feel tailored for the customer
environment
Management Integration with SMS, AD,
Group Policy and MOM for
client, server and service
operations
Complete policy based administration and operation
Microsoft TechDays 2007 - Lisboa 23/03/2007 11:34 AM
2007 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 8
Failover ClusteringSimplicidade / Segurança / Estabilidade
Simplicidade: Não requer elevados níveis de conhecimento e experiência em Clustering
Instalação é simplificada e dinâmica
Criação de um Cluster em um simples passo
Segurança: Melhor gestão das contas de serviço
Serviço de Cluster corre agora no contexto de segurança LocalSystem
Cluster Service Account (CSA) - Removido
Estabilidade: Maior estabilidade e performance
Novo “Resource Hosting Subsystem” (RHS)
Novo modelo de quorum – sem ponto unico de falha
Cluster Setup
Cluster Administrator actual…
Novo Cluster MMC Snap-in Clusters Geográficos
Retirada a limitação a uma única Subnet
Permite que os nós do cluster comuniquem através de network routers
Deixa de ser necessário o uso de VLANs para conectar os vários nós!
Heartbeat Timeouts Configuráveis
Aumentar - para Clusters Geográficos dispersos por várias localizações distantes entre si.
Reduzir - para detectar falhas de uma forma mais rápida e iniciar processo de recuperação e failover mais rápidamente.
Microsoft TechDays 2007 - Lisboa 23/03/2007 11:34 AM
2007 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 9
10 Razões para se preparar parao Windows Server “Longhorn”
Mais Controlo
Maior Flexibilidade
Aumento de Protecção
1. Server Management
2. Windows PowerShell
3. Internet Information Services 7.0
4. Server Hardening
5. Server Core
6. Network Access Protection (NAP)
7. Failover Clustering
8. Branch Office Deployments
9. Windows Server Virtualization
10.New Terminal Services Capabilities
Branch Office DeploymentsRead-Only Domain Controller
Read Only Active Directory Database
Replicação Unidireccional
Caching de credenciais
Benefícios do Read Only Domain Controller
Aumento de segurança para DC remotos onde a segurança fisica nao pode ser garantida
Read-Only DCComo Funciona
Hub
`
Read Only DCHub Longhorn DC
Branch
Read Only DC
1
2
3
4
5
6
6
7
7
Note: At this point the user will have a hub signed TGT
Hub Windows Server “Longhorn”
1. AS_Req sent to RODC
(request for TGT)
2. RODC: Looks in DB: "I don't
have the users secrets"
3. Forwards Request to
Windows Server “Longhorn”
DC
4. Windows Server “Longhorn”
DC authenticates request
5. Returns authentication
response and TGT back to
the RODC
6. RODC gives TGT to User and
Queues a replication request
for the secrets
7. Hub DC checks Password
Replication Policy to see if
password can be replicated
Branch Office DeploymentsActive Directory “Reiniciavél”
Reiniciar a Active Directory sem reiniciar o servidor
Pode ser feito através da linha de comando ou MMC
Não é possível iniciar o servidor com a Active Directory parada
Reiniciar a Active Directory não afecta os outros serviços
Várias formas de processar Login enquanto parado
Benefícios da Active Directory “Reiniciavél”
Reduz o tempo necessário para efectuar operações “offline”
Microsoft TechDays 2007 - Lisboa 23/03/2007 11:34 AM
2007 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 10
Branch Office DeploymentsBitLocker™ Drive Encryption
Ajuda a prevenir o uso de outros Sistemas Operativos ou ferramentas de Hacking para acesso indevido á informação do disco
Maior protecção da informação mesmo quando o sistema está em “mãos alheias”
Usa um TPM v1.2 ouUSB flash drive para guardar as chaves de encriptação
VM 1
“Parent”VM 2
“Child”VM 2
“Child”Virtual
Hard Disks(VHD)
Windows Server Virtualization
Plataforma de
Virtualização e Gestão
Windows Server Virtualization
Application
Guest Operating System
Application
Guest Operating System
VirtualH/W
VirtualH/W
R2
x86/x64 serverIntel VT/AMD
virtualization technology
(32-bit or 64-bit)Windows Hypervisor
VM 1“Parent”
MVS 2005 R2 SP1 scheduled to support in late 2006
Windows Hypervisor will support
High-performance virtualization solution
Delivered in Windows Server 'Longhorn' wave of products
Windows Server 'Longhorn„ Datacenter Edition will allow unlimited virtual instances
Migrate from Microsoft Virtual Server
VM 2“Child”
VM 3“Child”
VM 4“Child”
Parent partition
Child partition
Virtualization stack
Novas Funcionalidades -Terminal Services
Acesso a Aplicações centralizado
Instalação de Aplic.(“virtualização de aplic.”)
Locais Remotos
Acesso Seguro de qualqyer local
Novas funcionalidades
TS Gateway
TS Aplicações Remotas
Autenticação Integrada(managed clients)
Central Location
Mobile WorkerIn Airport
Branch Office
Home Office
Microsoft TechDays 2007 - Lisboa 23/03/2007 11:34 AM
2007 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 11
DMZInternet Corp LAN
Terminal Server
Hotel
Ext
ern
al F
irew
all
Inte
rnal
Fir
ewal
lHome
Business Partner/
Client Site
E-MailServer
TerminalServer
Internet
Terminal Services
Gateway Server
HTTPS / 443
Terminal Services GatewayAcesso remoto a recursos em servidores internos
Terminal Services Gateway
Maior nível de Segurança
Autenticação com passwords, smartcards
Usa mecanismos de encriptação standard da industria (SSL, HTTPS)
Tráfego RDP é encriptado “end-to-end” – do client ao terminal server
Estado do PC Cliente pode ser validado (usando NAP)
Placas de aceleração SSL podem ser usadas para fazer o “off-load” da sessão SSL. (para detecção de intrusões ou uso de filtros numa DMZ)
Melhor solução comparado com uma VPN
Utilizadores podem aceder a aplicações internas ou computadores internos usando apenas um Web Browser
Facilmente utilizável de um Computador de “casa”
Compatível com firewalls e NATs (com HTTPS:443)
Controlo de Acesso Granular definido na DMZ
Connection Authorization Policy (CAP)
Resource Authorization Policy (RAP)
Terminal Services Remote Programs
Disponibilização de Aplicações simple e rápida
Gestão centralizada de Aplicações da linha de negócio
Forma “leve” de disponibilizar aplicações “data-intensive”
Consolidação de Aplicações
Integra com programas locais
Drag and Drop (Beta 3)
Integração no System Tray
Devices e Ficheiros Locais
Terminal Services Remote Programs
Microsoft TechDays 2007 - Lisboa 23/03/2007 11:34 AM
2007 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 12
Participe Noutras SessõesGUPADE
SRV014 – Desenho do AD com o Windows Server “Longhorn”
Quinta Feira, 22, 15:15
MGT011 – Tudo o que precisa de saber sobre uma implementação de
sucesso com MOM 2005
Quinta Feira, 22, 13:30
SRV013– As novas capacidades do servidor de ficheiros no Windows 2003
R2 e no Windows Server “Longhorn”
Quinta Feira, 22, 13:30
UCM008 – Como evitar o SPAM
Quinta Feira, 22, 11:15
Pergunte aos EspecialistasObtenha Respostas às Suas Questões
22 Mar, até às 12h
www.gupade.org
Outros RecursosPara Profissionais de TI
TechNet Plus2 incidentes de suporte gratuito profissional
software exclusivo: Capacity Planner
software Microsoft para avaliação
actualizações de segurança e service packs
acesso privilegiado à knowledge base
formação gratuita
e muito mais.
www.microsoft.com/portugal/technet/subscricoes
Microsoft TechDays 2007 - Lisboa 23/03/2007 11:34 AM
2007 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 13
Questionário de AvaliaçãoPassatempo!
Complete o questionário de avaliação e devolva-o no balcão da recepção.
Habilite-se a ganhar uma Xbox 360 por dia!
SRV011
10 Razões para se preparar para o Windows Server “Longhorn” © 2007 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.